آنچه که باید از ISPتان بخواهید!

آیا ارایه دهنده خدمات اینترنتی (ISP[1]) سازمان شما هنگامی که نشانه هایی از جستجوی غیرطبیعی جدول DNS را مشاهده کرد یا وقتی نسبت بارگذاری (آپلود) فایل های یک سیستم به دانلود آن به شکل غیرمنتظره ای تغییر کند یا اینکه یک پورت باز را بر روی سیستمی مشاهده نماید که قبلاً این پورت روی آن باز نبوده است، به شما اطلاع‌­رسانی می ­کند؟ در حالت کلی آیا این شرکت ارایه دهنده خدمات اینترنت، به بهبود و ارتقای وضعیت امنیتی سازمان شما کمک می­ نماید؟

به احتمال بسیار زیاد پاسخ تمام پرسش­‌های بالا منفی است. شرکت‌های ارایه دهنده سرویس اینترنت معمولاً وظیفه انتقال ترافیک در بین نقاط انتهایی و سرویس‌های مختلف یا همان اجرای مفهوم End-to-End را بر عهده دارند. این شرکت ها می کوشند ترافیک ها را با بیشترین سرعت و قابلیت اطمینان ممکن ارسال کنند و توجهی به مسایل مطرح شده ندارند. با توجه به میزان اهمیت و قابلیت‌های رو به گسترش نقاط انتهایی، این احتمال وجود دارد که در آنها فایروال مبتنی بر میزبان (Host Based)، سیستم تشخیص نفوذ (IDS) و سایر نرم‌افزارهای امنیتی نصب شده تا حفاظت های کافی از آنها به عمل آید و همچنین گزارش‌های لازم برای مدیران یا مالکان دستگاه ها ارسال شود.

در دنیایی که نقاط انتهایی با ظهور تلفن های هوشمند همراه و اینترنت اشیاء بسیار متنوع شده و تعداد آنها نیز با سرعت نسبتاً زیادی رو به افزایش است، وقت آن رسیده که در بعضی از مفاهیم اولیه تجدیدنظر کنیم. یک ساعت هوشمند، یک دستگاه متصل به اینترنت، یک سیستم صنعتی، یک هدست واقعیت مجازی و سایر دستگاه‌های مشابه، ظرفیت لازم برای امن شدن یا ایمن ماندن در کل طول عمرشان را ندارند. پیاده سازی راهکارهایی همچون دفاع نقطه‌ای، دیگر در این دستگاه‌ها کافی نبوده و درگاه‌های امنیت ابری هم به قدری از آنها دور هستند که ممکن است نتوانند بسته‌های تبادلی را به صورت مناسب کنترل کنند.

با این حال باید توجه داشت که ISPها در زمینه تحلیل ترافیک شبکه‌های خودشان تجربه و مهارت زیادی دارند. این شرکت‌ها دارای ابزارهای تحلیل عمیق بسته‌ها (DPI[2]) هستند که می‌توانند ترافیک شبکه را به صورت جزئی تحلیل و بررسی کنند. گاهی وقت ها از این راهکارها برای شناسایی مصارف کاربرد غیرمجاز توسط مشتریان استفاده می شود و حتی ممکن است قابلیت تشخیص نقض قوانین، حق مالکیت معنوی و کپی رایت مثل به اشتراک گذاری فایل ها و تورنت کردن محتوا را نیز داشته باشند.

بیشتر ISPها ابزارها و داشبوردهایی دارند که امکان گزارش دهی و دستکاری ترافیک را در شبکه‌هایشان فراهم می کنند. آنها از این ابزارها و امکانات فقط برای کاربردهای داخلی خودشان استفاده می‌نمایند. این ابزارها در صورت مدیریت درست و مناسب می توانند سلاحی قدرتمند در برابر انواع تهدیدات سایبری باشند. هم اکنون وقت آن رسیده که این ابزارها به مدیران امنیت و معماران امنیت اطلاعات برای پیاده‌سازی معماری Secure Access Service Edge (SASE) کمک کنند.

 

درگاه امنی برای اینترنت

معمولاً ISPها به ویژه در آمریکا در حوزه بهره گیری از ابزارهای پایشی و کنترلی بسیار قدرتمند هستند. این شرکت‌ها امکان پیاده‌سازی قوانین و منطق لازم را در لبه‌های شبکه LTE/5G فراهم می‌کنند (پیش از ارتباط دستگاه با اینترنت) و به این ترتیب یک درگاه امن اینترنتی شکل می گیرد. وجود چنین درگاهی، آن هم در نقطه‌ای که محل اتصال شبکه LTE/5G با اینترنت است نه تنها به شناسایی تهدیدهای مبتنی بر HTTP یا آنهایی که از قوانین وی‌پی‌ان یا پروکسی کلاینت تبعیت می‌کنند کمک می کند بلکه موجب شناسایی بهتر تهدیدها نیز می شود.

چند نمونه از کاربردهای این پیاده سازی عبارتند از:

موقعیت جغرافیایی: اپراتور شبکه همراه حتی بدون وجود یک برنامه کاربردی در سطح کلاینت، به صورت دقیق از محل دستگاه اطلاع خواهد داشت. در صورت اتصال این قابلیت به یک زیرساخت SASE می‌توان دسترسی‌ها را بر اساس موقعیت جغرافیایی هم مدیریت کرد.

همه تجهیزات قابل اتصال به شبکه همراه، یک شناسه سخت‌افزاری (IMEI) دارند که هر زمان این وسایل درخواست ایجاد نشستی را ارسال کنند، IMEI آن برای اپراتور شبکه قابل مشاهده می باشد. با این حال تعدادی از اپراتورها این عدد را نادیده گرفته یا هر مقداری را قبول می‌کنند. به جای این روش می ­توان از شناسه IMEI برای کنترل دسترسی به شبکه استفاده کرد تا فقط امکان برقراری دسترسی ها از طریق دستگاه‌های مجاز امکان پذیر باشد. این رویکرد به نوعی شبیه مجوزدهی مبتنی بر آدرس مک در شبکه‌های رایانه ای است.

تفکیک نام (Names Resolution) هم یکی دیگر از حوزه‌های مهمی است که می‌توان بر آن متمرکز شد. به جای استفاده از یک تفکیک کننده برای همه درخواست‌ها باید به سازمان‌ها امکان داد تا DNS امن خودشان را تعریف کرده و نظارت دقیقی بر دستگاه‌هایشان داشته باشند. سازمان‌ها ممکن است نیازمند آن باشند که از امکانات امن داخلی خودشان یا یک شرکت همکار مورد اعتماد استفاده کنند. به­ عنوان مثال چرا باید یک تبلت یا دستگاه اینترنت اشیاء را ملزم به تفکیک نام شرکت نت‌فلیکس کرد؟ در واقع این قابلیت باید جزو امکانات قابل برنامه ریزی توسط مدیران شبکه باشد.

همچنین قابلیت نظارت بر ترافیک خروجی شبکه‌های موبایلی هم می‌تواند به مشاهده حجم، جریان، محتوا و منبع یا مقصد ترافیک کمک کند. سازمان‌ها باید به جای اینکه پشت مترجم آدرس‌های شبکه (NAT) قرار بگیرند، چنین امکانی را در سمت شبکه وای‌فای شرکت شان داشته باشند.

باید به این نکته توجه داشت که موفقیت کامل زمانی حاصل می‌شود که ترکیب این ویژگی‌ها با یکدیگر تحلیل شوند تا آگاهی زمینه‌ای لازم را برای سازمان‌ها ایجاد کنند. یک شبکه تلفن همراه خصوصی که برای نصب SASE آمادگی دارد می‌تواند فعالیت‌های غیرمنتظره و مشکوک را به سرعت شناسایی نماید. بهترین حالت پیاده سازی این راهکار آن است به گونه­‌ای استفاده شود که نیازی به ابزارهای سمت کلاینت وجود نداشته باشد.

سازمان‌ها باید خواستار نظارت و کنترل بیشتر از ISPها و دسترسی به ابزارهای آنها باشند. از سوی دیگر، ISPها هم باید از این فرصت برای ایجاد شبکه‌هایی امن‌تر و قابل اطمینان‌تر استفاده کنند.

 

[1] Internet Service Provider

[2] Deep Packet Inspection

 

منبع: infosecurity-magazine

خروج از نسخه موبایل